Ngày 25/12, tài khoản có tên vndcio rao bán cơ sở dữ liệu của nền tảng giao dịch tiền số ONUS (tiền thân là VNDC), bao gồm thông tin xác minh danh tính người dùng (eKYC), hình ảnh, video… trên diễn đàn Raid*****. Theo hacker này, dữ liệu bị chiếm đoạt chứa thông tin cá nhân của khoảng 2 triệu khách hàng ONUS.
“Tôi đã xâm nhập vào máy chủ của họ và kết xuất dữ liệu. Tôi cũng đã xóa các tệp trên máy chủ. Vì vậy, bây giờ ONUS cũng không có thông tin eKYC của người dùng. Cơ sở dữ liệu chứa thông tin của khoảng 2 triệu khách hàng nền tảng ONUS”, vndcio viết.
Đính kèm bài đăng là nhiều phần dữ liệu được chủ tài khoản cho biết lấy từ máy chủ của ONUS. Thông tin cá nhân gồm họ tên, địa chỉ email, thời gian hoạt động của một số người dùng cũng bị hacker công khai.
Khi được yêu cầu cung cấp hình ảnh, video eKYC, vndcio đăng tải thêm giấy tờ tùy thân của khoảng 10 khách hàng. Tài khoản đăng bài cho biết 90% dữ liệu thu được đến từ người dùng Việt Nam.
Hacker này còn cung cấp thêm một số đoạn clip ghi lại hình ảnh khuôn mặt người dùng ở các góc khác nhau khi ứng dụng xác minh danh tính. Vndcio không đưa ra giá bán cụ thể của số dữ liệu nêu trên. Người này yêu cầu liên hệ thông qua email bảo mật ProtonMail.
Phản hồi về vấn đề nêu trên, phía ONUS thông báo trên website chính thức rằng nền tảng đã chịu ảnh hưởng từ một cuộc tấn công mạng quy mô lớn.
“Kẻ tấn công đã lợi dụng một lỗ hổng trong một bộ thư viện trên hệ thống của ONUS để xâm nhập vào máy chủ sandbox (chỉ dành cho việc lập trình). Tuy nhiên, do vấn đề về mặt cấu hình, máy chủ sandbox này chứa thông tin khiến cho kẻ xấu có quyền truy cập vào hệ thống lưu trữ dữ liệu của chúng tôi (Amazon S3) và đánh cắp đi một số thông tin quan trọng”, ONUS cho biết.
Theo thông báo, vụ tấn công có nguy cơ làm lộ thông tin cá nhân bao gồm tên, email, số điện thoại, địa chỉ, dữ liệu KYC, mật khẩu mã hóa và lịch sử giao dịch của người dùng ONUS.
Đội ngũ dự án này cũng cho biết đang làm việc cùng các chuyên gia bảo mật để khắc phục sự cố, nâng cao bảo mật. Ngày 25/12, ứng dụng ONUS đã bắt buộc người dùng thay đổi mật khẩu để có thể truy cập ứng dụng.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.